企业Intranet网络VPN应用

　　VPN技术以其简单管理、费用低廉的优点成为企业构建内部广域网络的首要选择。 随着市场对VPN应用发展的需求，集成VPN的防火墙安全网关体现了灵活、高效、完整的安全解决方案优势。 结合应用先进的基于ASIC的VPN防火墙， 本文介绍典型的企业Intranet网VPN应用方案。
　　
　　一、VPN的主要技术
　　虚拟专用网主要采用了两种技术：隧道技术与安全技术。 隧道技术当前主要有三种协议支持：PPTP，L2TP和IPsec。隧道技术主要是完成IP数据包的二次封装，以实现企业私有地址在公网上的传输。为了保证传输的安全，需要一定的安全加密手段， 以保证数据的私密性和完整性。安全技术主要有MPPE、IPsec等加密算法。
　　
　　在隧道和加密的技术上，IPsec已成为IP安全的一个应用广泛、开放的VPN安全协议，可确保运行在TCP/IP协议上的VPN之间的互操作性。IPsec 定义了一套用于保护私有性和完整性的标准协议， 支持一系列加密算法如DES、3DES。它检查传输的数据包的完整性，以确保数据没有被修改，具有数据源认证功能。
　　
　　IPsec适应向Ipv6迁移，它提供所有在网络层上的数据保护，进行透明的安全通信。IPsec用密码技术提供以下安全服务：接入控制，无连接完整性，数据源认证，防重放，加密，防传输流分析。IPsec协议可以设置成在两种模式下运行：一种是隧道（tunnel）模式，一种是传输(transport)模式。在隧道模式下，IPsec把IPv4数据包封装在安全的IP帧中。隧道模式是最安全的，但会带来较大的系统开销。传输模式是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。 网管联盟bitsCN_com
　　
　　二、集成VPN的防火墙安全网关
　　单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证，但它没有很强的访问控制功能， 例如状态包过滤、网络内容过滤、防DoS攻击等。在这种独立的防火墙和VPN布署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN是当前安全产品的发展趋势，能提供一个灵活、高效、完整的安全方案。
　　
　　集成VPN的防火墙安全网关的优点是， 它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DoS攻击和入侵威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，当前VPN技术已经成为安全网关产品的组成部分。 中国网管联盟bitsCN.com
　　
　　典型产品如美国Fortinet公司的FortiGate， 作为新一代内容级安全网关，以独特的硬件体系设计和贴近未来应用的设计理念， 集成了防火墙、VPN、病毒防御、内容过滤四大安全模块。 其VPN功能支持PPTP，L2TP和IPsec三种VPN协议，提供了方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows98/2000等系统自带的PPTP/L2TP拨号软件， 也可以使用客户端IPsec软件和企业建立VPN的连接。采用动态的密钥，可保证数据的安全。在企业本地网络和远程网络之间， 可以采用IPsec协议来实现VPN的连接和数据的高度安全控制。
　　
　　三、企业Intranet网络VPN应用

网管联盟bitsCN_com

　　企业Intranet网络建设的VPN连接方案， 利用IPsec安全协议的VPN和加密能力，实现两个或多个企业之间跨越因特网的企业内部网络连接，实现了安全的企业内部的数据通信。 通过防火墙内部策略控制体系， 对VPN的数据可以进行有效的控制和管理，使企业的内部网络通信具有良好的扩展性和管理性。
　　
　　图:企业Intranet网VPN解决方案
　　
　　如上图示，原始的数据经过加密封装在另外一个IP通道内，通道头部地址就是防火墙外部端口的IP地址，以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全，168位的3DES算法更提供了业界最高级别的安全防御体系，使企业的内部数据可以无忧地在公网上传输，以达到企业内部网络安全扩展的目的。

网管u家u.bitsCN.com